image

Onderzoekers vinden lek in controle van e-mailhandtekeningen

woensdag 1 mei 2019, 16:02 door Redactie, 5 reacties

Onderzoekers van de Ruhr-Universiteit Bochum hebben binnen verschillende e-mailprogramma's kwetsbaarheden in de implementatie van de encryptiestandaarden S/MIME en OpenPGP ontdekt, waardoor het mogelijk is om de inhoud van een gesigneerde e-mail aan te passen zonder dat dit bij de controle wordt opgemerkt. E-mailhandtekeningen moeten juist voorkomen dat de inhoud ongezien wordt aangepast.

Het probleem speelt bij de verificatie van de e-mailhandtekening en niet het maken ervan, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Om de aanval uit te voeren maakten de onderzoekers gebruik van eerder gesigneerde e-mails, injectie-aanvallen, fouten in de implementatie van OpenPGP en S/MIME en het manipuleren van headers.

Wanneer HTML/CSS in de e-mailclient staat ingeschakeld is het mogelijk om de controle van de e-mailhandtekening te manipuleren, aldus het BSI. Daardoor krijgt de gebruiker te zien dat het bericht over een geldige handtekening beschikt, terwijl de inhoud door een aanvaller is aangepast. De Duitse overheidsinstantie was sinds maart van dit jaar betrokken bij het coördineren van de kwetsbaarheden met de verschillende e-mailclientontwikkelaars. Inmiddels zijn er voor de verschillende e-mailclients updates uitgekomen.

Volgens het BSI kunnen OpenPGP en S/MIME dan ook gewoon worden gebruikt mits de e-mailclient up-to-date is en het laden van actieve content in het e-mailprogramma is uitgeschakeld. Het gaat dan om het uitvoeren van HTML-code en het laden van externe content. Verdere technische details over de beveiligingslekken en kwetsbare e-mailclients zijn niet door het BSI gegeven.

Reacties (5)
01-05-2019, 16:49 door Anoniem
HTML in e-mail moet verboten worden. Zinloos, nutteloos en al zo lang als het bestaat (1998??) een security risico.
01-05-2019, 18:04 door Anoniem
Ik zou dit geen lek noemen. Er lekt helemaal niks.
Het gaat zo te zien om manipulatie van e-mail-inhoud en manipulatief tonen van succesvolle verificatie van de handtekening.
01-05-2019, 23:24 door Briolet - Bijgewerkt: 01-05-2019, 23:28
S/MIME en OpenPGP worden maar door heel weinigen gebruikt. Heel veel meer mail wordt via dkim ondertekent. b.v. alle grote mail providers, zoals gmail, icloud, ziggo etc. ondertekenen de mail van gebruikers via dkim. Deze handtekening wordt al door de ontvangende mailserver gecontroleerd. Dus nog voordat de mail cliënt de mail gezien heeft.

Dus zelfs als de S/MIME en OpenPGP handtkening omzeild wordt, dan nog kun je aan de dkim handtekning zien dat er met de inhoud geknoeid is.
02-05-2019, 09:24 door Anoniem
Door Briolet: S/MIME en OpenPGP worden maar door heel weinigen gebruikt. Heel veel meer mail wordt via dkim ondertekent.
Dat doet alleen compleet wat anders.
02-05-2019, 15:38 door Briolet
Door Anoniem:
Door Briolet: S/MIME en OpenPGP worden maar door heel weinigen gebruikt. Heel veel meer mail wordt via dkim ondertekent.
Dat doet alleen compleet wat anders.

Ja en nee. Hier gaat het om het ongezien aanpassen van de inhoud. Dat is precies wat dkim beveiligd met een digitale ondertekening. Deze ondertekening is altijd het eerste wat ik controleer bij gevoelige mail.

Verder is dkim iets anders, maar ook een S/MIME en OpenPGP kan aanvullend ondertekend zijn via dkim.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.